このエントリーをはてなブックマークに追加 LINEで送る

近年、委託先による大規模な情報漏えい事件が頻発しており、委託先の情報セキュリティ体制を把握し、選定・管理することは急務となっています。

そこで本記事では、改めて「委託」とはなにか、「委託先管理」の重要性とは、といった点をご紹介できればと思います。

委託について知ろう

委託とは

「委託」とは、業務の一部または全部を第三者にお願いし、委ねてしまうことを指します。

業務を委ねるということは、委ねた業務の中で取り扱う情報資産(※)を委ねた先に渡すことになりますので、委託をおこなう際には、まず委託先を厳正に審査し、選定する必要があります。

(※)情報資産とは個人情報に限らず、企業の「ひと・もの・かね」に関するすべての情報が含まれます。

  • 営業ノウハウ
  • マニュアル
  • 設計情報
  • 社内システムのソースコード など

委託先を選定・決定する際の注意点

各社委託先の選定基準は様々かと思いますので、自社の基準に沿った選定を実施します。

委託先選定基準の例
  • 受託業務の実績が豊富
  • 取引先からの紹介
  • ISMS/Pマークなどの第三者認証を取得済み

 

上記のとおり選定された委託先とは、委託を開始する前に業務内容や費用、期限などを詳細に取り決めた上で契約を締結する必要があります。

安全を確保するために、契約締結時に下記のような対応をあわせておこなうことも推奨されます。

 

  • 責任の所在や委託契約終了後の対応、再委託などについての内容を含んだ秘密保持契約を締結する。
  • 委託先のWebサイトなどで公開している情報資産の取扱約款等を確認し、内容を控える。
  • (個人事業主などの場合)委託先のセキュリティ意識を高めるための教育を実施する。
  • セキュリティに関するアンケートを実施する。

 

秘密保持契約を締結した場合、委託先に対して情報資産の安全管理実施を義務付けすることが可能になりますので、締結をおこない、最低でも自社と同等以上の安全管理実施を求めておくと安心でしょう。

また、秘密保持契約の締結は、情報漏えいが発生した際に責任の所在を明確化できる、委託先管理を実施していたことの証明となる、というようなメリットもありますので、締結するに越したことはありません。

委託先アンケートに関しては、委託先が実施していると回答したセキュリティ対策が実際には実施できておらず、それが原因で情報漏えい等が起きてしまった場合、委託管理責任を問われることもありますので、アンケートの回答に齟齬がないか確認することも重要です。

委託先を継続的に管理する

委託先の管理は、何も委託契約を開始する際にだけおこなえば良いというものではありません。

委託した業務の中で取り扱われる情報資産の安全が継続的に確保されるよう、契約締結後も継続的に委託先のチェックをおこなっていかなければなりません。

「長年委託していた相手で信頼していたため、委託先管理をおこなっていなかった。その結果、自社がお願いしていた情報取り扱いのルールが遵守されておらず、大規模な情報漏えいが発生してしまった」

上記のような事件が後を絶ちませんので、継続的な委託先管理は必須と言えるでしょう。

チェック方法は、上述した新規契約時のものとおおむね相違ありません。

そのため、例えば「毎年3月にセキュリティに関するアンケートを送付し、回答してもらう」だったり、「毎年8月に委託先のWebサイト上のプライバシーポリシーなどをチェックして、控える」だったり、対応方法を定めておくと良いでしょう。

上記手順にてチェックした結果、自社のセキュリティ基準から委託先が逸脱していることを把握した場合は、是正を促したり、委託先を変更したりする必要があります。

委託先による情報漏えい事例

委託先の管理を実施していなかったことにより発生した情報漏えい事件は枚挙にいとまがありません。

実際にいくつかご紹介しましょう。

日本年金機構の委託先が無断再委託

日本年金機構からデータ入力業務を委託されていたSAY企画が、日本年金機構に無断で入力業務を第三者に再委託していた事件が発生しました。

無断再委託の理由は「業務の繁忙」とのことですが、本来マイナンバーの無断再委託は禁止されています。

本件では、委託先による無断再委託というコンプライアンス違反のみならず、再委託した先でデータ入力ミスが多発したことなども批判の的となりました。

参考

日本年金機構「年金からの所得税の源泉徴収について
 

ベネッセ、再委託先従業員が情報持ち出し

ベネッセ・コーポレーション(以下、ベネッセ)により個人情報の管理を委託されていたグループ会社「シンフォーム」が、さらに複数の外部下請けに再委託をおこなっていた結果、当時再委託先の派遣社員であった男が個人情報を盗み、名簿業者へ売却するために持ち出した事件が発生しました。

名簿業者へ売却された個人情報は、その後数十社のもとに渡り、ベネッセ会員へ様々なダイレクトメールが届くようになりました。

ベネッセは、問い合わせ窓口の設置や被害者へのお詫びとして図書カード等の発送など、事件への対応に追われる結果となりました。

参考

ベネッセコーポレーション「事故の概要

委託先管理の重要性を理解しよう

委託先で情報漏えいが発生した場合、もちろん委託先も責任が問われますが、委託元もまた同様に責任が問われます。

どれだけ委託先管理をおこなっていようとも、責任を逃れることはできません。

しかし一方で、委託先管理をおこなっていた場合と、おこなっていなかった場合では、その責任の重さや被害者側の心情が大きく変わってくるのは事実ですので、委託先管理はしっかり実施しておくべきでしょう。

このエントリーをはてなブックマークに追加 LINEで送る

再確認したい!委託先管理の重要性

カテゴリー: 情報セキュリティ

近年、委託先による大規模な情報漏えい事件が頻発しており、委託先の情報セキュリティ体制を把握し、選定・管理することは急務となっています。

そこで本記事では、改めて「委託」とはなにか、「委託先管理」の重要性とは、といった点をご紹介できればと思います。

委託について知ろう

委託とは

「委託」とは、業務の一部または全部を第三者にお願いし、委ねてしまうことを指します。

業務を委ねるということは、委ねた業務の中で取り扱う情報資産(※)を委ねた先に渡すことになりますので、委託をおこなう際には、まず委託先を厳正に審査し、選定する必要があります。

(※)情報資産とは個人情報に限らず、企業の「ひと・もの・かね」に関するすべての情報が含まれます。

  • 営業ノウハウ
  • マニュアル
  • 設計情報
  • 社内システムのソースコード など

委託先を選定・決定する際の注意点

各社委託先の選定基準は様々かと思いますので、自社の基準に沿った選定を実施します。

委託先選定基準の例
  • 受託業務の実績が豊富
  • 取引先からの紹介
  • ISMS/Pマークなどの第三者認証を取得済み

 

上記のとおり選定された委託先とは、委託を開始する前に業務内容や費用、期限などを詳細に取り決めた上で契約を締結する必要があります。

安全を確保するために、契約締結時に下記のような対応をあわせておこなうことも推奨されます。

 

  • 責任の所在や委託契約終了後の対応、再委託などについての内容を含んだ秘密保持契約を締結する。
  • 委託先のWebサイトなどで公開している情報資産の取扱約款等を確認し、内容を控える。
  • (個人事業主などの場合)委託先のセキュリティ意識を高めるための教育を実施する。
  • セキュリティに関するアンケートを実施する。

 

秘密保持契約を締結した場合、委託先に対して情報資産の安全管理実施を義務付けすることが可能になりますので、締結をおこない、最低でも自社と同等以上の安全管理実施を求めておくと安心でしょう。

また、秘密保持契約の締結は、情報漏えいが発生した際に責任の所在を明確化できる、委託先管理を実施していたことの証明となる、というようなメリットもありますので、締結するに越したことはありません。

委託先アンケートに関しては、委託先が実施していると回答したセキュリティ対策が実際には実施できておらず、それが原因で情報漏えい等が起きてしまった場合、委託管理責任を問われることもありますので、アンケートの回答に齟齬がないか確認することも重要です。

委託先を継続的に管理する

委託先の管理は、何も委託契約を開始する際にだけおこなえば良いというものではありません。

委託した業務の中で取り扱われる情報資産の安全が継続的に確保されるよう、契約締結後も継続的に委託先のチェックをおこなっていかなければなりません。

「長年委託していた相手で信頼していたため、委託先管理をおこなっていなかった。その結果、自社がお願いしていた情報取り扱いのルールが遵守されておらず、大規模な情報漏えいが発生してしまった」

上記のような事件が後を絶ちませんので、継続的な委託先管理は必須と言えるでしょう。

チェック方法は、上述した新規契約時のものとおおむね相違ありません。

そのため、例えば「毎年3月にセキュリティに関するアンケートを送付し、回答してもらう」だったり、「毎年8月に委託先のWebサイト上のプライバシーポリシーなどをチェックして、控える」だったり、対応方法を定めておくと良いでしょう。

上記手順にてチェックした結果、自社のセキュリティ基準から委託先が逸脱していることを把握した場合は、是正を促したり、委託先を変更したりする必要があります。

委託先による情報漏えい事例

委託先の管理を実施していなかったことにより発生した情報漏えい事件は枚挙にいとまがありません。

実際にいくつかご紹介しましょう。

日本年金機構の委託先が無断再委託

日本年金機構からデータ入力業務を委託されていたSAY企画が、日本年金機構に無断で入力業務を第三者に再委託していた事件が発生しました。

無断再委託の理由は「業務の繁忙」とのことですが、本来マイナンバーの無断再委託は禁止されています。

本件では、委託先による無断再委託というコンプライアンス違反のみならず、再委託した先でデータ入力ミスが多発したことなども批判の的となりました。

参考

日本年金機構「年金からの所得税の源泉徴収について
 

ベネッセ、再委託先従業員が情報持ち出し

ベネッセ・コーポレーション(以下、ベネッセ)により個人情報の管理を委託されていたグループ会社「シンフォーム」が、さらに複数の外部下請けに再委託をおこなっていた結果、当時再委託先の派遣社員であった男が個人情報を盗み、名簿業者へ売却するために持ち出した事件が発生しました。

名簿業者へ売却された個人情報は、その後数十社のもとに渡り、ベネッセ会員へ様々なダイレクトメールが届くようになりました。

ベネッセは、問い合わせ窓口の設置や被害者へのお詫びとして図書カード等の発送など、事件への対応に追われる結果となりました。

参考

ベネッセコーポレーション「事故の概要

委託先管理の重要性を理解しよう

委託先で情報漏えいが発生した場合、もちろん委託先も責任が問われますが、委託元もまた同様に責任が問われます。

どれだけ委託先管理をおこなっていようとも、責任を逃れることはできません。

しかし一方で、委託先管理をおこなっていた場合と、おこなっていなかった場合では、その責任の重さや被害者側の心情が大きく変わってくるのは事実ですので、委託先管理はしっかり実施しておくべきでしょう。

Author: hakuta
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする